Il Senato della Repubblica ha approvato in via definitiva il decreto legge di iniziativa governativa in materia di rafforzamento della cybersicurezza nazionale e di reati informatici. Il provvedimento era stato approvato dalla Camera di Deputati il 15 maggio. Una delle novità riguarda la notifica degli incidenti informatici all’Agenzia per la Cybersicurezza Nazionale (ACN). In caso di ritardo sono previste sanzioni per le pubbliche amministrazioni.
Principali novità della legge
I primi 15 articoli della legge riguardano le misure per il rafforzamento della cybersicurezza nazionale e della resilienza delle pubbliche amministrazioni. Per queste ultime, tra cui Regioni, Comuni con oltre 100.000 abitanti, città metropolitane, capoluoghi di Regione, società di trasporto pubblico e ASL, è previsto l’obbligo di segnalare eventuali incidenti informatici all’ACN entro 24 ore dalla scoperta.
Le pubbliche amministrazioni dovranno quindi implementare le misure correttive indicate dall’ACN entro 15 giorni. In caso di inosservanza dell’obbligo di notifica, le legge prevede l’invio di ispezioni, sanzioni fino a 125.000 euro e la responsabilità disciplinare e contabile per i dirigenti. Le stesse sanzioni si applicano in caso di mancata adozione degli interventi risolutivi.
Altre disposizioni riguardano i rapporti tra la varie agenzie e la struttura organizzativa. Al Nucleo per la cybersicurezza possono partecipare anche rappresentanti della Direzione nazionale antimafia e della Banca d’Italia. Nel Comitato interministeriale per la sicurezza della Repubblica (CISR) ci saranno anche il Ministro dell’agricoltura, il Ministro delle infrastrutture e dei trasporti e il Ministro dell’università e della ricerca. Le pubbliche amministrazioni devono istituire una struttura preposta alle attività di cybersicurezza e nominare un referente per la cybersicurezza.
Nasce il Centro nazionale di crittografia
La legge prevede inoltre il rafforzamento delle misure di sicurezza attraverso l’uso della crittografia. Viene istituito il nuovo Centro nazionale di crittografia e le strutture preposte alle attività di cybersicurezza nelle pubbliche amministrazioni dovranno verificare che le applicazioni rispettino le linee guida sulla crittografia adottate dall’ACN e dall’Autorità garante per la protezione dei dati personali.
Gli altri 8 articoli prevedono numerose modifiche al codice penale, tra cui l’inasprimento delle pene e l’introduzione di nuovi reati, tra cui quello di estorsione, ad esempio la richiesta di una somma di denaro per evitare la pubblicazione di dati aziendali o personali. Tutte le modifiche possono essere lette su questo sito.
Niente fondi aggiuntivi
C’è solo un “piccolo” problema. La legge non prevede lo stanziamento di ulteriori oneri a carico della finanza pubblica. Le amministrazioni dovranno rispettare gli obblighi utilizzando le loro attuali risorse umane, strumentali e finanziarie. I proventi delle suddette sanzioni confluiranno nelle entrate dell’ACN.